Utdanningsetaten. Alle som har ansvar og arbeider med informasjonssikkerhet Ansvar:

Oslo kommune Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten Gyldighet: Alle som har ansvar og arbeider med informasjonssikkerhet Ansvar: Direktør i Utdanningsetaten Utøver: Avdelings- og områdedirektører, rektorer, sikkerhetsorganisasjonen, driftsansvarlig og IKTfunksjonen. Distribusjon: Ledelsen i Utdanningsadministrasjonen, rektorer, medlemmer av sikkerhetsorganisasjon, driftsansvarlig og IKT- ansvarlige Utarbeidet av: Sikkerhetsleder Godkjent av: Direktørmøtet 11.08.04 Oppdatert dato: 28.02.2005 Lagret: K:\Sikkerhetsråd\Dokumentasjon\Sikkerhetshåndbøker\sikkerhetshåndbok gjeldende versjon\sikkerhetshåndbok UDE 1.1.doc Media: Elektronisk Referanser: Instruks for informasjonssikkerhet i Oslo kommune, Utdanningsetatens policy for informasjonssikkerhet. Versjonsnummer: Versjon 1.1 Erstatter: Versjon 1.0 Endringsliste: Dato Forklaring/endring Versjon Ansvarlig 11.08.2004 Godkjent i Direktørmøtet 11.08.04, 1.0 Endret av UM endret versjonsnr. og filnavn 28.02.2005 Oppdatert referanser 1.1 Endret av DBU Sikkerhetshåndbok for Utdanningsetaten, versjon 1.1

Oslo kommune Utdanningsetaten INNHOLDSFORTEGNELSE: 1 INNLEDNING...3 1.1 Formål...3 1.2 Omfang...3 1.3 Dokumentets oppbygging...3 1.4 Begreper...4 1.5 Referansedokumentasjon...5 1.6 Sikkerhetsorganisasjon...6 1.7 Personopplysninger...6 2 FYSISK SIKRING...7 2.1 Adgangsrettigheter og adgangskontroll...7 2.1.1 Besøkende...7 2.1.2 Egne ansatte eller innleide...7 2.2 Sikring mot brann, vannlekkasje, strømstans og miljøsvingninger...8 2.2.1 Brannsikring...8 2.2.2 Sikring mot vann og fukt...9 2.2.3 Sikring mot strømavbrudd...9 2.2.4 Sikring mot varme...9 2.3 Utstyrsplassering...10 2.4 Utstyrsmerking...10 2.5 Informasjonshåndtering...10 2.6 Bærbart utstyr...11 3 SYSTEMTEKNISK SIKRING...12 3.1 Sikkerhetskopiering...12 3.2 Aktivitetslogging...13 3.3 Sikringstiltak mot ondsinnet kode (datavirus)...14 3.4 Sletting av data ved avhending eller gjenbruk av IKT-utstyr...15 3.5 Logisk tilgangskontroll...15 3.5.1 Brukeridentifikasjon og autentisering (identitetsbekreftelse)...15 3.5.2 Autorisasjonskontroll...16 3.5.3 Systemtilgang...17 3.6 Kommunikasjonssikring...17 Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 1 av 26

2 3.6.1 Generelle regler...17 3.6.2 E-post og Internett...18 4 ORGANISATORISK SIKRING...19 4.1 Ansvar for informasjonssikkerhet...19 4.2 Administrative og driftsmessige sikringstiltak...19 4.2.1 Systemplanlegging og anskaffelse...19 4.2.2 Systemadministrasjon...20 4.2.3 Dataadministrasjon...21 4.3 Avviksbehandling/hendelsesregistrering...22 4.4 Katastrofe-/avbruddsplan...23 4.5 Informasjonssikkerhet ved start, endring og slutt i stilling...23 4.5.1 Kompetanseutvikling...23 4.5.2 Krav til eksterne oppdragstakere...24 4.5.3 Taushetserklæring...25 4.5.4 Innsynsrett...25 4.5.5 Tiltak ved brudd på sikkerhetsbestemmelse...25 Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 2 av 26

3 1 Innledning 1.1 Formål Informasjon er en av Utdanningsetatens viktigste eiendeler. Dette dokumentet beskriver hvordan etaten skal oppnå et ønsket nivå av informasjonssikkerhet, og bygger på Instruks for informasjonssikkerhet i Oslo kommune og Utdanningsetatens Policy for informasjonssikkerhet. 1.2 Omfang Dokumentet rettes mot de deler av organisasjonen som har et særlig ansvar for informasjonssikkerhet: etatens ledelse, avdelings- og områdedirektører, rektorer, sikkerhetsorganisasjonen og IKT - funksjonen. Dokumentet gjelder for all informasjon som behandles i Utdanningsetaten. 1.3 Dokumentets oppbygging Dokumentet består av tre hovedkapitler: Fysisk sikring, Systemteknisk sikring og Organisatorisk sikring. Hvert underkapittel i disse kapitlene inneholder minst en av følgende type anvisninger: Policy Beskriver regler som må overholdes og som inneholder ordbruk som skal og må. Hovedpolicy for hvert underkapittel vises i uthevet tekst, som for eksempel: Brukere skal rapportere all mistanke om sikkerhetsbrudd eller sikkerhetssvakheter Øvrige policies og retningslinjer fremstilles i normaltekst. Retningslinjer Er kun veiledende og inneholder ordbruk som bør. Rutiner Beskriver aktiviteter som skal utføres trinnvis, samt hvem som er ansvarlig for utøvelsen. Det er Rutinehenvisning til mer utfyllende rutinebeskrivelser på de ulike områdene. Det er lagt opp til hyperlink fra dette dokumentet til hver rutine. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 3 av 26

4 1.4 Begreper Informasjon Omfatter alle måter å spre kunnskap på, enten gjennom lagring (f.eks. på papir, magnetisk eller elektronisk) eller gjennom kommunikasjon (f.eks. via datanettverk, i samtale eller over telefonen). Informasjonssikkerhet Beskyttelse av informasjon mot handlinger som kan føre til brudd på: Bruker Medarbeider Personopplysninger Konfidensialitet - dvs. sikkerhet for at kun autoriserte får tilgang til informasjonen. Integritet - dvs. sikkerhet for at informasjonen er fullstendig, nøyaktig og gyldig. Tilgjengelighet - dvs. sikkerhet for at informasjonen er tilgjengelig ved behov. Enhver som har tilgang til informasjon i Utdanningsetaten. Enhver som jobber i Utdanningsetaten, enten som ansatte eller som innleide. Personopplysningsloven 2 definerer personopplysninger som: Opplysninger og vurderinger som kan knyttes til en enkeltperson. Taushetsbelagte opplysninger Sensitive personopplysninger Eksempler på ikke-sensitive personopplysninger er: o personnummer, fødselsdato o adresse, telefon nr. o yrke, arbeidssted Forvaltningsloven 13 definerer taushetsbelagte opplysninger som: 1) noens personlige forhold, eller 2) tekniske innretninger og fremgangsmåter samt drifts- eller forretningsforhold som det vil være av konkurransemessig betydning å hemmeligholde av hensyn til den som opplysningen angår. Som personlige forhold regnes ikke fødested, fødselsdato og personnummer, statsborgerforhold, sivilstand, yrke, bopel og arbeidssted, med mindre slike opplysninger røper et klientforhold eller andre forhold som må anses som personlige. Personopplysningsloven 2 definerer sensitive personopplysninger som: Opplysninger om: 1) Rasemessig eller etnisk bakgrunn eller politisk, filosofisk eller religiøs oppfatning. 2) Opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for straffbar handling. 3) Helseforhold. 4) Seksuelle forhold. 5) Medlemskap i fagforeninger. Offentlighetsloven gir anledning til å klassifisere opplysninger som unntatt offentlighet når visse vilkår er oppfylt ( 5, 5a, 6 og 6a). Opplysninger unntatt offentlighet Fortrolig informasjon Felles begrep for sensitive personopplysninger, taushetsbelagte opplysninger og informasjon klassifisert som unntatt offentlighet. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 4 av 26

5 1.5 Referansedokumentasjon Policy for informasjonssikkerhet i Utdanningsetaten definerer Utdanningsetatens overordnede sikkerhetsmål, og er retningsgivende for hvordan virksomheten skal ivareta informasjonssikkerheten. Policydokumentet bygger på Instruks for informasjonssikkerhet i Oslo kommune. Begge disse dokumentene legger grunnlaget for de øvrige sikkerhetsdokumentene som er utarbeidet i Utdanningsetaten, og som i tillegg til denne håndboken består av: Internkontrollsystem for informasjonssikkerhet (ref. 1.7 Personopplysninger). En sikkerhetshåndbok i kortversjon for alle ansatte i Utdanningsetaten. Et felles sett av sikkerhets- og driftsrutiner som de ovennevnte dokumentene refererer til. Figur 1 Sikkerhetsdokumentasjon i Utdanningsetaten Instruks for informasjonssikkerhet for Oslo kommune Policy for informasjonssikkerhet Internkontrollsystem for informasjonssikkerhet Sikkerhetshåndbok for Utdanningsetaten Sikkerhetshåndbok for Utdanningsetaten kortversjon Sikkerhets- og driftsrutiner Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 5 av 26

6 1.6 Sikkerhetsorganisasjon Utdanningsetatens sikkerhetsorganisasjon, med tilhørende roller og ansvarsområder, er beskrevet i kapittel 6 i Utdanningsetatens Internkontrollsystem for informasjonssikkerhet. 1.7 Personopplysninger Utdanningsetaten behandler personopplysninger og er underlagt Personopplysningsloven. Formålet ved Personopplysningsloven er å hindre krenkelse av den enkeltes personvern under behandling av personopplysninger. Begrepet behandling omfatter enhver bruk av personopplysninger som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering. Den behandlingsansvarlig skal sørge for at loven etterleves. Direktøren er etatens behandlingsansvarlige. Personopplysninger kan bare behandles dersom visse vilkår er oppfylt som bl.a. at den registrerte har samtykket, eller behandlingen er hjemlet i andre lover. I Utdanningsetaten gir Opplæringsloven i en rekke tilfeller adgang til slik behandling. I tillegg skal behandlingen kun skje når personopplysningene: Bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker. Er tilstrekkelige og relevante for formålet med behandlingen, og er korrekte og oppdaterte, og ikke lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Personopplysningsloven krever at Utdanningsetaten sørger for tilfredsstillende informasjonssikkerhet av personopplysninger og at det finnes et Internkontrollsystem som regulerer at behandlingen skjer i henhold til loven. Dette dokumentet er en del av etatens informasjonssikkerhetssystem. Dokumentet Internkontrollsystem for informasjonssikkerhet beskriver hvordan Utdanningsetaten ivaretar internkontroll i henhold til loven. Mer informasjon om Personopplysningsloven er tilgjengelig på www.datatilsynet.no. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 6 av 26

7 2 Fysisk sikring Det skal føres nødvendig kontroll med den fysiske sikringen av etatens lokaler, informasjon og tilhørende utstyr. Dette for å sikre kommunens verdier og å verne om liv og helse. 2.1 Adgangsrettigheter og adgangskontroll Det skal føres nødvendig kontroll med personers adgang til virksomhetens lokaliteter. 2.1.1 Besøkende Personer uten autorisert adgangsrettigheter skal ikke oppholde seg i adgangskontrollerte kontorsoner uten tilsyn. Uautoriserte personer skal kun slippes inn i adgangskontrollerte soner etter avtale med autorisert personell. Teknikere, håndverkere, rengjøringspersonell og lignende som trenger adgang til tekniske rom eller andre særskilt begrensede områder, skal alltid følges av en av Utdanningsetatens medarbeidere. Utdanningsadministrasjonen: Alle skal bære synlig adgangskort eller besøkslapp. Resepsjonen må ikke slippe inn noen før de har ringt opp vedkommende avdelings forværelse og fått bekreftet at vedkommende kan slippes inn og blir tatt i mot. Vedkommende må hentes, enten i resepsjonen eller på reposet, og ikke slippes inn av andre. Ved møter med eksterne deltakere er møteleder ansvarlig for deltakerne og varsler resepsjonen og forværelset om møtet og hvem som er møteleder. Ved større møter bør deltakerliste sendes resepsjonen. Ved mistanke om at uvedkommende oppholder seg i eller har vært i lokalene, meldes dette til nærmeste overordnede. Bud må ikke slippes inn. Budpost hentes/leveres i resepsjonen. Større forsendelser mottas av gårdens vaktmester. Personer som ikke tilhører IKT- avdelingen skal kun oppholdes seg i serverrommet under tilsyn av en medarbeider fra IKT- avdelingen. 2.1.2 Egne ansatte eller innleide Det skal føres nødvendig kontroll med medarbeideres adgang til virksomhetens lokaler, slik at kun autoriserte medarbeidere får adgang til virksomhetens adgangskontrollerte områder. Adgangskort eller nøkler skal oppbevares sikkert og utilgjengelig for uvedkommende. Der adgang til bygget styres av kort med pinkode skal ikke koden gis til andre. Ved tap av adgangskort eller nøkler skal kontorlokalets driftsansvarlig eller nærmeste leder orienteres umiddelbart. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 7 av 26

8 Utdanningsadministrasjonen: Utdanningsadministrasjonens hovedbygg er sikret ved innbruddsalarm tilknyttet Falck. Datarommet har et eget innbruddsalarmsystem. Alarmsystemene er tilknyttet Falck som varsler kontaktpersoner i Utdanningsadministrasjonen ved utløsing av alarmen. Den som har slått av tyverialarmen for å oppholde seg i lokalene når alarmen normalt skal være aktivert har ansvaret for å påse at alarmen blir aktivert når sistemann forlater lokalet. Rutinehenvisninger Rutinen Informasjonssikkerhet ved start, endring eller slutt i stilling brukes til å styre tilgangsrettigheter. Denne overordnede rutinen utløser rutinen for adgangskontroll. Tildeling av adgangsrettigheter til alle kontorlokaler er styrt i henhold til rutinen Adgangskontroll som gjelder for både fast og midlertidige ansatte. Rutinen beskriver hvordan adgang til sentrale og lokale områder administreres. Adgangsrettigheter til kontorlokaler kontrolleres jevnlig av de respektive personalansvarlige og driftsansvarlig. Adgangsrettigheter til skoleområder kontrolleres jevnlig av skolens rektor/driftsansvarlig. Rutinen Revisjon av adgangskontroll beskriver hvordan kontrollen utføres. 2.2 Sikring mot brann, vannlekkasje, strømstans og miljøsvingninger IKT-utstyr og annet som lagrer informasjon skal sikres spesielt for å avverge og redusere skade som følge av brann, vannlekkasje, strømstans m.v. Ansvar for beskyttelse av sentralt utstyr i Utdanningsadministrasjonen påhviler IKT - direktør. Beskyttelse av utstyr, som er plassert lokalt, ivaretas av avdelingsdirektør/rektor. For sikring av arkivlokaler skal egne krav nedfelt i forskrift til arkivloven kap. IV; Oppbevaring og sikring av offentlige arkiv brukes. Utdanningsadministrasjonen: Håndtering av driftsavbrudd forårsaket av større uhell er beskrevet i IKT-Beredskapsplan for håndtering av katastrofesituasjoner. 2.2.1 Brannsikring De lokale branninstruksene beskriver tiltakene for å bekjempe brann. Det skal stå slukningsapparat i eller ved alle tekniske rom, f.eks. datarom, koblingsskap o.lign. Ved større tekniske rom skal det være montert røyk-/varmedetektorer og automatisk brannslukkingsanlegg. Det skal utarbeides en egen branninstruks for større datarom. Brannfarlig materiale skal ikke lagres i tekniske områder. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 8 av 26

9 Utdanningsadministrasjonen: Datarommet i Utdanningsadministrasjons hovedbygg er beskyttet av et brannsikringssystem. Systemet utløser gassen Inergen når to uavhengige røykdetektorer oppdager brann. Alarmen er tilknyttet brannvesenet. Ved brann skal IKT - personell lukke alle dører inn til serverrommet. 2.2.2 Sikring mot vann og fukt Data - rom og tekniske installasjoner skal sikres i nødvendig grad mot vann og fukt. Overrislingsanlegg skal ikke brukes i tekniske rom. Vanndetektorer bør monteres der fare for vannlekkasje er stor. Utdanningsadministrasjonen: Datarommet i Utdanningsadministrasjonens hovedbygg er beskyttet mot vannlekkasje via vanndetektorer som er koblet til det sentralalarmsystemet. Ved vannlekkasje skal IKTpersonell forsøke å stenge den nærmeste kranen, hvis det ikke fungerer så må man gå ned til Inntakskontoret (hovedkranen til serverrommet er i taket på Inntakskontoret) for å stenge hovedkranen. 2.2.3 Sikring mot strømavbrudd For å sikre mot mindre spenningsvariasjoner på strømnettet og kortere strømbrudd på viktig IKT-utstyr ("viktige" PC-er, servere og nettverksutstyr), skal slikt utstyr tilkobles avbruddsfri strømforsyning (UPS = Uninterrupted Power Supply). Utdanningsadministrasjonen: Utdanningsadministrasjons hovedbygg beskyttes mot strømavbrudd ved å benytte UPS for alt utstyr i datarommet. UPS - systemet opprettholder strømtilførselen i et begrenset tidsrom slik at en kontrollert nedstenging av kritisk datautstyr kan fullføres. Ved strømbrudd venter IKTpersonell 5 minutter før de begynner å ta ned serverne (i tilfelle strømmen kommer raskt tilbake). 2.2.4 Sikring mot varme Større datarom eller områder med mye datautstyr, skal ha tilstrekkelig kjølekapasitet for å sikre utstyret mot overvarme. Utdanningsadministrasjonen: Datarommet i Utdanningsadministrasjonens hovedbygg har et stort kjøleanlegg med reservekjøling. Reservekjøling slår inn når temperaturen overstiger en bestemt grense. Hvis temperaturen kommer over 30 c så skal IKT-personell forsøke å få ned temperaturen ved å åpne dørene til rommet. Dersom dette ikke hjelper må serverne taes ned. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 9 av 26

10 2.3 Utstyrsplassering IKT-utstyr skal plasseres slik at det er utilgjengelig for uvedkommende. Sentrale IKT-ressurser (f.eks. servere) skal plasseres på eget datarom med særlig adgangssikring. Kommunikasjonsutstyr skal plasseres enten på datarom eller i låsbare koblingsskap eller lignende. Områder med datautstyr, i lokaler åpne for uvedkommende, skal være låst når de ikke er bemannet. Felles skrivere som brukes til å skrive ut fortrolig informasjon skal plasseres på avlåst rom, hvis ikke andre løsninger iverksettes for å hindre at slik informasjon blir liggende på skriveren (f.eks. utskrift kontroll ved pinkode). Felles periferiutstyr som f.eks. skrivere, bør ikke plasseres i åpne arealer/korridorer, men i egne låsbare rom. Rutinehenvisning: Ved nyanskaffelser av utstyr skal rutinen Anskaffelser og implementering av IKT-systemer følges. 2.4 Utstyrsmerking IKT - utstyr skal merkes for å forebygge tyveri. Løst og lett omsettelig utstyr, som f.eks. bærbare PC-er og lignende skal merkes. Merking bør ikke være lett å fjerne. Utstyr hvor det skal lagres sensitiv informasjon skal merkes spesielt. Rutinehenvisning: Se rutinen Anskaffelser og implementering av IKT-systemer 2.5 Informasjonshåndtering Informasjon skal oppbevares og transporteres slik at den ikke er tilgjengelig for uvedkommende, skades eller går tapt. Datarom og arkivrom og andre "kritiske" rom, skal være avlåst når de ikke er bemannet. Dokumenter som inneholder fortrolig informasjon skal: o Ikke være synlige for uvedkommende. o Lagres kun i sikker sone på administrasjonsnettet eller på andre godkjente og avlåste lagringsområder uten nettverkstilknytning. Dokumentene skal ikke kopieres til utstyr eller lagringsmedia som benyttes utenfor administrasjonsnettet f.eks. bærbart utstyr, hjemme-pc eller utstyr i undervisningsnettet. o Låses ned når de ikke er i bruk Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 10 av 26

11 o Kastes i godkjente sikkerhetsdunker eller makuleres. o Markeres med unntatt offentlighet og med riktig paragraf etter lovverket o Ikke sendes via telefaks. o Ikke sendes ut av det lokale nettverk uten godkjent kryptering. Ved bruk av e-post se kapittel 3.6.2 E-post og Internett. Brukere skal logge ut eller bruke en passordbeskyttet skjermlås når de forlater arbeidsplassen. Brukere skal logge ut på slutten av dagen. Dersom en PC blir stående lengre enn 10 minutter uten aktivitet, skal skjermbildet automatisk sperres av passordbeskyttet skjermsparer. Brukere skal holde pulten ryddig. 2.6 Bærbart utstyr Brukere av bærbart utstyr, slik som bærbar PC og PDA er skal: o Skjule utstyret når det oppbevares i usikkert område (f.eks. i bilen). Ikke bruke slikt utstyr til lagring av fortrolig informasjon. o Påse at oppdatert antivirusprogramvare er installert. o Rapportere tyveri av bærbar utstyr i henhold til avviksrutinen (ref: 4.3 Avviksbehandling/hendelsesregistrering). o Bruke en påloggingskode og passord for å beskytte lagret informasjon (ref. 3.5.1 Brukeridentifikasjon og autentisering). Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 11 av 26

12 3 Systemteknisk sikring Følgende kapittel beskriver de datatekniske sikringskravene. 3.1 Sikkerhetskopiering Det skal rutinemessig tas sikkerhetskopi (backup) av program og data på felles servere og i felles systemer. Brukere bør ikke lagre data på lokal harddisk. Brukere som lagrer data på lokale harddisker er selv ansvarlig for sikkerhetskopiering. Personlige sikkerhetskopier skal behandles i henhold til de øvrige kravene i dette underkapittelet. Rutinen for sikkerhetskopiering skal dekke all informasjon på felles servere, og bør være automatisert. Rutinen skal være innarbeidet i normale driftsrutiner. Datalagringsmedia skal merkes med innhold og dato og skal beskyttes mot miljøskade (varme, magnetisk stråling, fuktighet) og tyveri. Sikkerhetskopier skal oppbevares i et brannsikkert skap eller på et fjernlager. Fortrolig informasjon fra sikker sone, skal kopieres og lagres helt uavhengig av annen informasjon. Tilbakeføring av data fra sikkerhetskopi, skal initieres kun ved godkjenning av informasjonseieren eller avdelingsdirektør/rektor. Backup av data fra sikker sone, skal kun tilbakeføres til opprinnelig sikker sone. Regelmessig stikkprøvekontroller (minst hvert kvartal) skal foretas av sikkerhetskopiene for å sjekke at kopiene er leselige og at dataen er korrekt. IKT-avdelingen i Skoleadministrasjonen har ansvar for sentrale backup-rutiner i administrasjonsnettet. Backup på undervisningsnettet håndteres av den enkelte skole eller av skolens driftspartner. Tilbakeføring av data fra sentrale sikkerhetskopier avtales ved henvendelse til ansvarlig helpdesk. Utdanningsetaten har automatisert sin backup av administrasjonsnettet ved bruk av Tivoli Server Manager (TSM), og tar sikkerhetskopi av alle sentrale data til et felles lagringsbibliotek. Lagringsbiblioteket er konfigurert slik at data fra intern sone og sikker sone blir fysisk atskilt. Sikkerhetskopier lagres på to sett med media. Ett sett fjernes og lagres daglig i en brannsikker safe i kjelleren i Utdanningsadministrasjonen. Sikkerhetskopier beholdes i minst 3 måneder eller i minst 9 versjoner. Sikkerhetskopier av mail lagres i 14 dager. Sikkerhetskopier som skal lagres lengre, må avtales spesifikt med IKT-avdelingen. Rutinehenvisning: Rutiner for sikkerhetskopiering er beskrevet i mer detaljer i rutinen: Sikkerhetskopiering. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 12 av 26

13 3.2 Aktivitetslogging IKT-systemene skal inneholde funksjoner for logging av aktivitet i den utstrekning det ansees nødvendig for å kunne forebygge, oppdage og redusere skade som følge av misbruk og feil. Brukere skal gjøres kjent med loggaktivitetene. Brukeren gjøres oppmerksom på at Internettrafikk og nettverksbruk blir logget. Loggdata kan kun brukes til administrasjon av systemet eller til oppdagelse eller oppklaring av brudd på sikkerheten. Loggdata kan ikke brukes for overvåke medarbeiderens aktiviteter utover dette formålet. Alle aktivitetslogger skal lagres i minst 3 måneder i samsvar med Personopplysningsloven. All loggdata skal beskyttes som fortrolig informasjon ved å arkivere de minst daglig i sikker sone. All loggdata skal gjennomgåes regelmessig og tegn til ureglementert bruk undersøkes og eventuelt rapporteres. Ureglementert bruk defineres som bruk som har betydning for systemets sikkerhet. Brukere gjøres kjent med loggaktivitetene gjennom Sikkerhetshåndboken. IKT-avdelingen i Utdanningsadministrasjonen har implementert standard aktivitetslogging for systemer de har driftsansvar for. Følgende standard loggdata registreres på operativsystemnivå: Alle systemer skal logge: o all mislykket innlogging o alle forsøk på å endre systemkonfigurasjon o aktivitet på brukerkonti utenfor arbeidstid o endringer av brukerprivilegier og passord o mislykket filtilgang i sikker sone o omstart Følgende standard loggdata registreres på nettverk systemnivå: Brannmurer skal registrere: o eksterne anrop til nettverksadresser i virksomhetens informasjonssystemer o adresser i det eksterne datanettet som det kommuniseres med o forsøk på å oppheve sperrer eller begrensninger som håndheves av brannmur o endring av sikkerhetskonfigurering av brannmur o omstart o forsøk på å endre registreringer eller det som skal registreres Behov for aktivitetslogging ut over dette skal avtales mellom sikkerhetsorganisasjonen og IKT-avdelingen. Ureglementert bruk av IKT-systemer rapporteres i henhold til rutinen for avviksrapportering - se underkapittel: Avviksbehandling/hendelsesregistrering. Loggaktivitetene på administrasjonsnettet beskrives i rutinen Kontroll, oppbevaring og sletting av loggdata. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 13 av 26

14 3.3 Sikringstiltak mot ondsinnet kode (datavirus) Det skal foretas nødvendig kontroll mot ondsinnet kode som datavirus etc. ved f.eks. oppkobling mot eksterne databaser og Internett. Begrepet datavirus brukes herunder for å beskrive alle former for ondsinnet kode. Alle maskiner som kan bli utsatt for datavirus skal ha en programvare for viruskontroll. Dette omfatter både servere (filservere, terminalserver, e-post servere og Internett gateway) så vel som PC-er. Programvaren for viruskontroll skal være konfigurert slik at: o Programvaren igangsettes ved oppstart av maskinen. o Viruskontroll av minne og eventuelle innlagte disketter, initieres automatisk ved oppstart av maskinen eller ved klientoppkobling til terminalserver. o Viruskontroll av disketter initieres ved innlegging. o Viruskontroll av fil ved åpning. o Oppdateringsprosedyren for signaturfilen i viruskontroll programvaren gjennomføres minst daglig. o Det skal ikke være mulig for brukere å endre programvarens konfigurasjon. o Viruskontroll skjer ved etatens gateway (e-post og Internett). o Viruskontroll skjer ved utsendelse av e-post. Brukere skal varsle ansvarlig helpdesk hvis de oppdager mangel på tilfredsstillende viruskontroll. Brukere skal virussjekke eksterne media som CD, disketter, USB-minne før de lagres på server/pc. Brukere bør være forsiktig med å åpne mistenkelig filer (selv fra kjente avsendere). Brukere med mistanke om virusinfeksjon på sin PC skal slå av PC-en og varsle ansvarlig helpdesk. PC-en skal ikke brukes igjen før den er desinfisert. Infiserte disketter skal makuleres. Avdeling for IKT er ansvarlig for beskyttelse mot datavirus på sentrale IKT- systemer i Skoleadministrasjonen. Antivirusprogramvare er installert på alle servere og PC-er tilknyttet administrasjonsnettet. Skolene er selv ansvarlig for viruskontroll på egne PC-er. Antivirus programvare er fritt tilgjengelig for alle skolene på www.utdanningsetaten.oslo.no/drift. Rutinehenvisninger: Virusangrep håndtereres i henhold til rutinen Håndtering av virusangrep. Nye maskiner konfigureres med antivirus programvare i henhold til rutinen Viruskontroll. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 14 av 26

15 3.4 Sletting av data ved avhending eller gjenbruk av IKT-utstyr Ved salg, kassering eller annen avhending av IKT-utstyr skal det foretas forsvarlig sletting av data. Personopplysninger og annen fortrolig informasjon skal ikke lagres på lokal harddisk (ref. 2.5 Informasjonshåndtering), og dermed kan PC-er avhendes med vanlig sletting av informasjon. Der fortrolig informasjon var lagret på lokal harddisk før kravene til informasjonshåndtering var vedtatt, gjelder følgende krav: Ved avhending eller gjenbruk av utstyr (inklusiv magnetbånd) benyttet til lagring av fortrolig informasjon, skal tilstrekkelig sletting dokumenteres skriftlig, eksempelvis ved et slettesertifikat. Ved avhending av disker som ikke kan slettes på normalt vis, skal disken destrueres. Alle servere skal behandles som om de har inneholdt fortrolig informasjon. Ved forsendelse i forbindelse med teknisk service bør sletting vurderes for fortrolig informasjon. Fortrolig informasjon lagret på magnetbånd slettes ved bruk av en degausser som avmagnetiserer båndene. Alternativt kan båndene makuleres. Rutinehenvisning: Datautstyr, som skal avhendes eller gjenbrukes, gjennomgåes i henhold til rutinen Avhending eller gjenbruk av IKT-utstyr. 3.5 Logisk tilgangskontroll Alle IKT-systemer som benyttes i kommunens virksomheter skal inneholde mekanismer for logisk tilgangskontroll, og skal omfatte nødvendig brukeridentifikasjon, autentisering og autorisasjonskontroll. Alle IKT-systemer i Utdanningsetaten har mekanisme for tilgangskontroll. Det er den autorisasjonsansvarlig, i samarbeid med IKT-avdelingen, som sørger for at kun rettmessige brukere til enhver tid anvender IKT-systemene. 3.5.1 Brukeridentifikasjon og autentisering (identitetsbekreftelse) Hver enkelt IKT-bruker skal ved ansettelse/innleie tildeles en unik påloggingskode kalt bruker-id,. Tilgangen til påloggingskode skal beskyttes av et passord. Passordet er personlig og skal ikke gis til andre, verken kollegaer eller IKT-personell. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 15 av 26

16 Utdanningsetaten har følgende krav til bruk av bruker-id: o Alle brukere må taste inn både bruker-id og passord ved pålogging til sentrale systemer. o Ingen bruker-id skal deles mellom to eller flere personer. o Bruker-ID til midlertidig ansatte/innleide medarbeidere skal konfigureres med utløpsdato lik datoen kontrakten avsluttes. o For medarbeidere som ikke lenger skal ha systemtilgang (f.eks. ved opphør av arbeidsforhold) skal bruker-id deaktiveres eller slettes. o Standard bruker-id som leveres med et system skal enten deaktiveres eller få tildelt nytt passord. Utdanningsetaten har følgende krav til bruk av passord: o Passordet skal bestå av minst 6 tegn og være en kombinasjon av tall, bokstaver og eventuelle spesielle tegn. Passordet skal ikke være lett å avdekke. o Kun eieren eller eierens avdelingsdirektør/rektor kan be ansvarlig helpdesk om en passordendring. o Brukere skal benytte et annet passord på systemer utenfor administrasjonsnettet. o Etter at ansvarlig helpdesk har tildelt et nytt passord, skal brukeren endre dette ved første pålogging. o Passordet skal ikke skrives ned eller lagres elektronisk i klartekst. o Sentrale systemer konfigureres slik at passordet må endres etter maks 30 dager. Ved bytte av passordet skal det ikke være mulig å gjenbruke noen av de 5 sist brukte passordene. o Ved 3 ukorrekte forsøk på pålogging skal bruker-id`en stenges i minst 24 timer. Brukeren må kontakte IKT-funksjonen for å få åpnet bruker-id. Det skal føres regelmessig kontroll av integriteten til brukerdatabasen. Ved ansettelsesopphør skal bruker-id til vedkommende slettes snarest. Rutinehenvisninger: Ansvarlig helpdesk forvalter Bruker ID-er og utdeler passord i henhold til rutinen: Brukeradministrasjon. Ansvarlig helpdesk håndterer forespørsel om endring av passord i henhold til rutinen: Endring av passord. Følgende rutine brukes til revisjon av brukerprofiler: Revisjon av brukertilgang. 3.5.2 Autorisasjonskontroll Autorisasjon skal angi hvilke IKT-systemer, programmer og dataelementer vedkommende bruker har lovlig tilgang til, og hvilke operasjoner (lese, skrive, oppdatere osv.), brukeren har lov til å utføre. Endringer i brukerens autorisasjon skal godkjennes av den autorisasjonsansvarlige før tilgang opprettes. Ved ansettelsesopphør skal tilgangsrettighetene til vedkommende bruker slettes snarest. Rutinehenvisninger: Det er systemets autorisasjonsansvarlige som godkjenner brukerens tilgangsrettigheter. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 16 av 26

17 Det er avdelingsdirektør/rektor som sørger for de godkjente rettigheter blir registrert eller fjernet pr bruker ved å følge rutinene: Opprettelse, endring og sletting av tilgangsrettigheter beskrives i rutinen Brukeradministrasjon En regelmessig revisjon av tilgangskontroll beskrives i rutinen Revisjon av brukertilgang. En standard for tilgangskontroll på filservere er utarbeidet, og er sammen med rutinen for oppretting av filområder, beskrevet i rutinen Administrasjon av filstruktur og tilgangsrettigheter 3.5.3 Systemtilgang Det skal være mulig for brukeren å låse tilgangen til en pålogget brukersesjon når vedkommende forlater arbeidsplassen for en kort periode. Dersom PC-en blir stående lengre enn 10 minutter uten aktivitet, bør skjermbildet automatisk sperres av med passordbeskyttet skjermsparer. Brukeren skal logge seg ut av arbeidsstasjonen når vedkommende slutter for dagen. 3.6 Kommunikasjonssikring Kommunikasjon skal sikres i henhold til gjeldende regler og lover. 3.6.1 Generelle regler Sensitiv informasjon skal plasseres i sikker sone. All tilkobling av kommunikasjonsutstyr til Utdanningsetatens nettverk skal godkjennes og konfigureres av IKT-avdelingen i Utdanningsadministrasjonen før bruk. Kobling av eksterne partnere til Utdanningsetatens nettverk skal foregå via et eget DMZ område på brannmuren. Kommunikasjonsutstyr skal plasseres i avlåste områder uten adgang for uvedkommende. Datapunkter skal være deaktivert når de ikke er i bruk. Personlig bruk av modem eller trådløst nettverksutstyr er ikke tillatt. På godkjente innkommende modemsamband, skal tilbakeringfunksjonen konfigureres. Trådløse nettverk skal være godkjent av IKT-funksjonen og kun brukes med tilfredsstillende kryptering. Rutinehenvisning: Utdanningsetaten har etablert en kommunikasjonsinfrastruktur i tråd med Datatilsynets retningslinjer. Dette er dokumentert i Internkontrollsystem for informasjonssikkerhet. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 17 av 26

18 3.6.2 E-post og Internett E-post eller Internettbaserte tjenester skal ikke brukes til å sende fortrolig informasjon. Se pkt. 1.4 Begreper. Både inngående og utgående trafikk skal sjekkes for virusinfiserte data. Brukere skal vise varsomhet ved mottak av filer. Ved mistanke om virusinfeksjon, kontakt ansvarlig helpdesk. Automatisk videresendfunksjoner skal ikke brukes i e-post systemer. Utdanningsetatens e-post og Internettjenester skal ikke brukes til formål som er uforenlig med etatens funksjon. Dette er bl.a.: o Personlig økonomisk gevinst o Ulovlig eller uetisk aktivitet o Sending av e-post med forfalsket avsenderadresse o Masseutsendelse av e-post utenom tjeneste o Nedlasting og bruk av data i strid med åndsverkloven o Nedlasting og bruk av programvare som ikke er godkjent for bruk i Utdanningsetaten Brukere bør være varsomme med bruk av distribusjonslister, slik at informasjon ikke sendes til uvedkommende. Brukere bør komprimere (f.eks. med Winzip) store vedlegg før de sendes via e-post. Rundskriv 24/2001 Revidert instruks for bruk av e-post beskriver Oslo kommunes regler for bruk av e-post ved mottak og forsendelse av journalpliktige dokumenter slik at dette er i samsvar med krav i arkivloven, forskrift om offentlige arkiv og arkivinstruks for Oslo kommune. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 18 av 26

19 4 Organisatorisk sikring 4.1 Ansvar for informasjonssikkerhet Ansvar for informasjonssikkerhet skal forankres i organisasjonen. Organisering og fordeling av ansvar for informasjonssikkerhet i Oslo kommune og Utdanningsetaten er beskrevet i kapittel 2.6 i Utdanningsetatens Internkontrollsystem for informasjonssikkerhet. En oversikt over ansvarsfordeling for Utdanningsetatens datasystemer er tilgjengelig i Utdanningsadministrasjonens IKT-avdeling. 4.2 Administrative og driftsmessige sikringstiltak Administrasjon og drift av IKT-systemene skal styres etter etablerte rutiner. 4.2.1 Systemplanlegging og anskaffelse Innkjøp og implementering av IKT-utstyr skal alltid gjennomføres i samarbeid med IKTavdelingen i Utdanningsadministrasjonen. Policy for utstyr i Utdanningsetaten ligger på IKTavdelingens hjemmeside på intranettet. Pålegg om bruk av rammeavtaler og/eller utstyrsstandarder skal etterleves. Ved anskaffelse av IKT-systemer skal krav knyttet til informasjonssikkerhet vurderes. Ved større anskaffelser skal krav til systemtekniske tiltak innarbeides i den kravspesifikasjon som følger tilbudsforespørselen. Rutinehenvisning: Utdanningsetatens innkjøpshåndbok brukes som grunnlag ved anskaffelser. Rutinen for Anskaffelser og implementering av IKT-systemer følges ved kjøp av IKT-utstyr. Rutinen for Konfigurasjonsendring brukes ved innføring av nye systemer i Utdanningsetaten, hvis ikke egne rutiner allerede er etablert. Sikkerhetshåndbok for Utdanningsetaten Versjon 1.1 Side 19 av 26